问题描述
我的设置如下。
[ Host A ] <-> [Rtr-A] <-> [Rtr-M] <-> [Rtr-B] <-> [ Host B]
我已将Rtr-A接口的出接口(朝向“ Rtr-M”)的MTU设置为600 我正在捕获来自“主机A”和“ Rtr-A”的数据包。 我已经从“主机A”向“主机B”发送了大小为1000的数据。 在查看捕获的数据包时,我可以看到需要分段的ICMP数据包是从Rtr-A到“主机A”的,而在来自主机A的数据包之后仍然是1000字节,其中Rtr-A中到达的数据包较小。这意味着我假设从“主机A”捕获数据包之后,该数据包将被分段。
这是预期的行为吗?我有什么办法可以捕获来自“主机A”本身的分段数据包。
〜S
解决方法
是的,这是您在本地捕获时的正常现象和预期行为。如果您想查看数据包出现在网上的情况,那么您将需要使用TAP,交换机的SPAN端口或集线器从外部捕获(如果可以找到的话)。
我建议阅读的一篇好文章是Jasper Bongertz的"The drawbacks of local packet captures",在“ Sideeffect#2-哇,BIG包!还有小包!” 中提到了这个问题。您可能还需要参考Wireshark Ethernet capture setup Wiki页面。